数据中心及应用服务中心规划方案模板

1、XXXX基础地理信息中心数据及应用服务中心规划方案V22012年11月目 录第一章 概述3第二章 基于外网的地理信息运营支撑平台规划52.1 综述52.2 基于外网的运营支撑平台总规划拓扑图62.3 外网线路规划62.4 基础网络部分规划72.5 应用主机部分规划92.6 网络安全部分规划122.7 分期建设规划表152.7.1 一期建设清单152.7.2 二期建设清单192.7.3 三期建设清单21第三章 基于政务内网的地理信息运营支撑平台规划233.1 综述233.2 基于政务内网的运营支撑平台总规划拓扑图243.3 基础网络部分规划243.4 应用主机部分规划253.5 网络安全部分规划

2、273.6 分期建设规划表283.6.1 一期建设清单283.6.2 二期建设清单313.6.3 三期建设清单32第四章 机房及UPS扩容344.1 机房扩容344.2 UPS扩容344.3 机房及UPS扩容配置清单36第一章 概述XXXX基础地理信息中心主要从事福建全省测绘档案资料的收集、整理、保管、编绘和呈报工作；全省测绘成果的分发服务；空间数据的加工、处理和集成；多源、多尺度空间基础地理信息数据库建设及GPS、GIS、RS技术的集成与应用开发。其中，XXXX基础地理信息数据库是XXXX地理空间基础框架的核心,是多尺度、多数据源、多分辨率、多时态的现代基础测绘成果的集成,是福建自然、资源、

3、环境和社会经济等信息的空间支撑的公共载体和基础。目前承载的数据大体上分为二类，即矢量数量和图像数据，其中矢量数据大约有几十个GB，而图像数据则较大，由上百万个小文件组成，大约由几百个GB，且其数据量呈高速增长的趋势。根据规划，XXXX基础地理信息数据库将在以下网络环境中构建相关的应用平台向不同的受众提供多级互动的地理信息服务： 将基于Internet构建 “XXXX地理信息公共服务平台”，主要是面向社会大众以及相关企事业单位提供地理信息服务。 将基于数字福建政务网（以下简称电子政务内网）构建 “XXXX地理信息公共服务平台”，纵向上主要实现国家、省、市测绘部门互联互通，横向实现测绘与政府、专业

4、部门（如公安、国土资源、气象、地震等等）互联互通，实现地理信息资源分布式在线共享与集成应用，促进地理信息在政府宏观决策、应急指挥、业务管理、社会公益服务等方面的应用，全面提升信息化条件下地理信息公共服务能力和水平，从而有效避免“信息孤岛”现象，充分发挥财政资源的效益。 另外，由中国电信福建公司承建的XXXX电子政务外网（以Internet为承载平台，以下简称电子政务外网）建成后，XXXX地理信息公共服务平台还要与其积极对接，一是实现和国家地理公共服务平台的对接；二是推进地理信息社会公共信息化服务应用项目向基层和农村延伸，实现公共信息化服务城乡一体化。基于不同网络环境构建的XXXX地理信息公共服

5、务平台建成后，可以提供全省多尺度（从1：100万到1:500）、多种类（地理实体数据、电子地图数据、地名地址数据、高程数据）的地理信息一站式服务，从而实现地理信息服务模式的变革与创新，为“数字福建”建设和海峡西岸经济区建设提供坚实的地理信息保障服务。综上所述，我们将利用并通过整合、快速、创新的业务解决方案来实现用户价值。第二章 基于外网的地理信息运营支撑平台规划2.1 综述外网分为两部分，即完全开放的Internet国际互联网和中国电信福建公司承建的XXXX电子政务外网（以Internet为承载平台），电子政务外网是政府的业务专网，它不仅为政务部门的业务协同和信息共享提供网络与信息安全等支撑服

6、务，更重要的是为社会公众提供政务信息服务，是有效沟通政府与公众的桥梁。而在目前XXXX电子政务外网没有正式建成前，我们还必须主要依托Internet国际互联网这个网络平台为社会公众及相关企事业单位提供多级互动的地理信息服务，待XXXX电子政务外网建成后，建议采用XXXX电子政务外网与Internet国际互联网这两个网络并存运营的方式。本章方案设计的主要目的就是为保证XXXX地理信息公共服务系统的稳定高效运行构建一个基于外网的稳定、安全、先进的外网运营支撑平台。2.2 基于外网的运营支撑平台总规划拓扑图基于外网的地理信息支撑运营平台规划总图如所示，XXXX基础地理信息中心基于外网的地理信息支撑运

7、营平台从架构上看，可以分为外网线路规划、基础网络规划、应用主机部分规划以及网络安全规划等4个部分，以下，我们就将本着“统一规划、分期实施”的原则对以上部分逐一进行规划说明。2.3 外网线路规划为保证XXXX地理信息公共服务系统的顺畅运营，根据其业务特征，有必要对外网线路进行一次梳理和规划，这样才能根据外网线路的实际带宽状况对整个外网进行结构性设计，避免“头轻脚重”或者“头重脚轻”，使投资效益最大化。 XXXX电子政务外网线路：XXXX电子政务外网建成后，主要运行政务部门面向社会的专业性服务和不需在内网上运行的业务，各个节点带宽如下：省核心链路带宽2.5G，核心和汇聚层采用1000M，厅局接入1

8、00M。也就是XXXX基础地理信息中心也会有一条电信福建公司承建的100M的承载于Internet的电子政务外网线路。 Internet线路：目前，XXXX基础地理信息中心已有3条Internet线路，分别是电信20M、电信10M和联通10M，我们拟对这3条线路进行整合和扩容，以满足XXXX地理信息公共服务系统的运营要求：即将电信20M、电信10M这两条线路整合成一条100M线路；联通10M这一条线路扩容成100M。（注：可根据流量负载状况分期扩容） 远期外网线路总汇：支撑XXXX地理信息公共服务系统运营的就有3条外网线路可用使用，分别是XXXX电子政务外网100M、电信100M和联通100M

9、，合计300M的带宽且这3条不同运营商的外网线路互为备份，共同构建一个稳定可靠、永不断网的Internet出口环境。另外，需要说明的是，如果远期XXXX电子政务外网100M线路运营稳定，且提供的带宽可申请扩展，建议可以取消电信100M线路而保留不同运营商（联通）的100M线路，以减少每个年度的运营成本支出。2.4 基础网络部分规划如所示，我们如果单纯地把基于外网的地理信息支撑运营平台当作一个整体，基础网络部分就好比是一条“高速公路”，只有路况良好才能保证“汽车”（即应用主机系统）高速运行，因此，我们规划的两大目标是：实现多ISP接入链路的负载均衡及冗余、构建稳定高速的数据交换网络。 为了实现多

10、ISP接入链路负载均衡及冗余的规划目标，我们在在外网链路与核心网络之间部署了链路负载均衡设备，其主要作用是：l 保证最终用户对Internet实现不中断的访问：链路负载均衡能够连续监视每个 Internet 连接的状态；自动检测各种故障，如链路、路由器、DNS 服务器和其它故障；通过检查确保用户只使用那些高效运转的接入链路；可以根据优先权、IP 地址、内容和其它用户指定的参数转发数据包；特定内容选择最佳链路时，会综合考虑与请求内容的网络就近性、链路的实时负载与链路的成本。l 端到端QoS保证：链路负载均衡的内置带宽管理功能，可以按照47层的特性识别不同类型的流量，通过带宽保证和限制，为关键业务

11、提供服务质量保证。 要构建一个稳定高速的数据交换网络，核心交换机的规划就显得尤为重要，因为其将负责各种业务数据流量的转发，是整个网络最核心部分，它的性能、可靠性将极大地影响整个网络的运行情况。因此，我们在整个网络最核心部分规划部署了增强型IPv6三层万兆以太网交换机，其提供以下功能：l 地图服务等其他应用服务器可直接千兆接入核心交换机，实现数据的高速转发；l 地理信息业务，最为重要的需求是I/O性能的提升，我们规划中将数据库服务器通过其自带的万兆网口与核心交换机万兆光纤端口直连，可以满足大容量I/O吞吐的需求。l 规划中，我们在Web应用服务器区前端部署了千兆二层交换机(可利用已有的IBM B

12、ladeCenter H刀片机箱中自带的以太网交换机模块)，做为其专有的接入交换机，主要是考虑即将上线的是基于Internet的业务，必须将Web应用服务器区与其他应用、数据库服务器区分开来，实行单独防护。 另外，为了满足核心网络节点高可靠性、高稳定性及高性能等方面的需求，以上规划均考虑了双机冗余的部署方式，以避免单点故障。 基础网络部分拓扑图2.5 应用主机部分规划“高速公路”（基础网络）建好了，还需要“好车”带着我们（主机以及应用软件）奔向目标。应用主机部分就好比是一辆辆“汽车”，如何让她们高速、经济高效、不间断地运行，是我们规划的最大目标。应用主机部分主要可以分为前端应用主机（如Web应

13、用、地图应用等等）、数据库主机、存储系统、服务器负载均衡以及备份系统5个部分，规划图如下所示：如所示，由于基于外网的应用与基于政务内网的应用相比，相对简单，为了取得最高性价比及保护原有投资，我们建议利用已有的IBM BladeCenter H刀片和IBM DS4700磁盘存储系统用标准方式构建。 前端应用服务器群：主要承担Web、地图等应用业务，由于对计算的要求不大，规划中我们利用用户已有的IBM BladeCenter H刀片系统构建，已有的IBM BladeCenter H刀片机箱尚有12个刀片服务器空余托架，根据业务发展状况可分期部署，并可根据不同的前端应用配置RAC（集群）以保证高可用

14、性。 数据库服务器群：由于地理信息业务对I/O性能的需求极大，规划中我们将利用用户已有的两套IBM x3650M2部门级服务器，配置HA（双机热备）来构建数据库系统；以后，如有其他项目上线，我们可以方便地通过增配一套或多套企业级服务器来扩展数据系统，新增的数据库服务器可以通过自带的万兆端口与核心交换机的万兆端口双链路直连，既能保证高I/O吞吐又能保证高可用性。 光纤交换机：未来多业务系统上线后，平台中将部署多台数据库服务器，这就需要通过光纤交换机与光纤通道磁盘存储系统连接，而不能采用数据库服务器与存储系统光纤直连的方式；为保证高可用性，规划中部署了两套光纤交换机并配置成HA工作模式。 存储系统

15、：我们将利用用户已有的IBM System Storage DS4700构建，目前配置有10个300GB 15000RPM 4GB光纤硬盘（RAID5），本机还有8个硬盘空槽，未来可以通过加配硬盘以及扩展存储柜的方式（最大112个硬盘槽位）方便地扩展存储容量；建议采用RAID5+Hotspare工作模式。 服务器负载均衡：如所示，我们通过在前端应用服务器上配置（RAC集群）来提高网站的处理能力，但其不足之处在于每一个前端应用服务器都有一个唯一的IP地址，外网用户需要记住多个IP地址以更好地访问该站点，由此也造成流量不能有效地在多个服务器之间进行分配。因此，我们在核心交换机上部署了服务器负载均衡

16、设备来解决此问题，其在进行流量管理时，被分配一个虚拟的IP地址即VIP，外网用户只需通过访问VIP，负载均衡设备会根据当时的服务器的工作状态、负载情况，按照一定的分配算法将流量分配到服务器群中的一个服务器，对于用户来说服务器群是透明的，用户并不知道服务器群的存在，VIP即是该站点的接入地址。负载均衡设备进一步地提高了网站的可靠性，这是由于当服务器群中的某一个服务器发生故障，会有另外的服务器接替其工作，并且负载均衡设备会确保流量不会分配到工作不正常、关机或处理能力已饱和的服务器上。 备份系统：如所示，从前端应用服务器、数据库服务器到光纤交换机，用户所使用的都是集群环境或全冗余架构，在这其中无论是

17、哪个环节发生单点故障都不会影响业务的连续性。但是在此环境架构中，存在着一个致命的环节，因为在此环境中所有的数据都是保存在IBM System Storage DS4700光纤磁盘存储系统上，其就好像是“好车”上的“发动机”，是应用主机系统的核心所在。虽然DS4700有RAID5与Hotspare的保护，但毕竟DS4700只是单台存储，如果DS4700发生故障的话，前端所做的集群环境与全冗余架构就再也无法确保业务的连续性了。因此，我们在规划中设计了一套1套磁盘存储系统作为DS4700备用机，配置SAS磁盘，使用raid5+Hotspare方式对备份存储本机进行保护，并确保可用磁盘空间不低于主存储

18、DS4700，使用两台存储虚拟化管理控制器，同步DS4700上的数据到备份存储上，并且做到主、备两台存储之间的HA，使整个平台不再存在单点故障，做到全冗余架构，保证地理信息业务的连续性及安全性。2.6 网络安全部分规划“高速公路”（基础网络）建好后，我们的“好车”(应用主机)本应能在上面顺畅地运行，却发现“高速公路”上尽是拖拉机、摩托车等非法车辆，时不时还有不法份子向“好车”投掷石块进行攻击，这时，我们就迫切需要“高速交警”（网络安全防护措施）来管理和保护，以保证我们的“好车”(应用主机)能高效、安全地运营。因此，我们将对XXXX基础地理信息中心基于外网的业务系统实施全局二级等级化标准保护。网

19、络安全部分的规划，总体上可以分为两大部分，一是要建立一个完善的信息安全管理体系，从制度上保证整个信息系统的安全运营；二是要通过各种安全设备的协同工作从技术上来实现对整个信息系统的安全防护。以下，我们将就如何在技术上的保证这一方面做出规划，至于在制度上的如何保证，由于内容较多，我们将以附件的方式提交。如所示，网络安全在技术上的保证，主要是通过在整个支撑平台的不同位置部署防火墙、入侵防御系统、Web应用防护系统、网络安全审计系统以及漏洞扫描系统等安全产品来实现。 防火墙：部署在网络出口处，是整个平台的第一道安全防线。部署后，所有访问服务器的请求都要经过防火墙安全规则的详细检测，只有访问服务器的请求

20、符合防火墙安全规则后，才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击，外界只能接触到防火墙上的特定服务，从而屏蔽了绝大部分外界攻击。另外，规划中XXXX地理信息公共服务系统和位置服务中心成诸多业务将承载在外网上运行，一旦系统上线，数据访问量将剧增，因此原本的百兆防火墙不适合用户的需求，需要替换成千兆的防火墙，建议分为两期来做，第一期先部署一台千兆防火墙，第二期再部署另一台千兆防火墙做双机热备以避免单点故障。另外，根据XXXX人民政府办公厅于2010年5月19日发布XXXX电子政务外网管理暂行办法第一章第二条 “政务外网是国家电子政务外网的组成部分，是覆盖省市县乡的全省统一

21、的电子政务专网，政务外网与政务信息网物理隔离，与互联网逻辑隔离。” 之规定，也需要通过防火墙实现电子政务外网与互联网的逻辑隔离。 入侵防御系统：防火墙是一种最基本的安全措施，它可以起到限制访问的目的，好比在网络中修建了围墙，不允许任意出入，只许在正规的出入口进出，防火墙可以阻止所有无关人员出入，并放行所有的相关人员。但，“开好车的就一定是好人吗？”，由于防火墙只能对表面现象进行检查，不能深入对内容进行检查，因此我们需要在平台中部署第二道防线来主动防御来自应用层的攻击，即入侵防御系统，它对已经通过防火墙检测的正常流量进行检测，发现隐藏在其中的恶意数据包，并阻止其攻击平台中的服务器主机，保证正常业

22、务系统的连续性和可用性。 Web应用防护系统：部署在Web应用服务器群的前端。由于从物理层到应用层（也就是ISO的一层到七层）都可以实现对网页内容的更改，例如，ARP Spoof，TCP会话劫持，FTP，SQL 注入，WebShell提权等。因此，对网站的防篡改也应该从物理层到应用层构建一套全层次受控的访问体系，也就是说，从ARP层到应用层对用户的防护的访问进行全面的、可控的最小权限访问控制。目前，用户已有的一套InforGuard网页防篡改软件由于在网站更新的时候经常会出现问题，已不再使用，更为重要的的是，其基本设计的概念是“事后还原”，也就是，一旦发现网页内容被更改，则尽快恢复事先备份的正

23、确网页内容；而规划中部署的Web应用防护系统的设计理念是“事先防改”，也就是说，做到让黑客根本无法更改，或者用一个通俗的话来比喻，一般的防篡改系统是“治病”，Web应用防护系统是“免疫”，同时还具有抗DDoS攻击防护、被盗链等功能。 网络安全审计系统：旁路部署在核心交换机上，实现对数据库操作的审计，以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源，加强内外部网络行为监管、促进核心资产（数据库、服务器、网络设备等）的正常运营。其核心价值体现是完善业务系统的安全防范体系，满足组织机构内外部合规性要求，全面体现管理者对业务系统信息资源的全局把控和调度能力。 漏洞扫描系统

24、（软件）：部署在数据库服务器群中，其可以实现对服务器的风险评估，及时的进行安全加固以加强服务器本身的安全，其利用“发现扫描定性修复审核”的弱点全面评估法则，综合运用多种国际最新的漏洞扫描与检测技术，能够快速发现网络资产，准确识别资产属性、全面扫描安全漏洞，清晰定性安全风险，给出修复建议和预防措施，并对风险控制策略进行有效审核，从而帮助用户在弱点全面评估的基础上实现安全自主掌控。2.7 分期建设规划表“统一规划，分期实施”是我们设计XXXX基础地理信息中心数据及应用服务中心所遵循的原则之一，因此，我们建议本项目可分为三期建设，具体规划如下表所示：2.7.1 一期建设清单外网线路部分 单位：人民币

25、 万元编号设备名称数量描述单价小计建议1XXXX电子政务外网线路1条u 目前未接入；u 标准100M光纤接入；u 向XXXX经济信息中心申请更大带宽。00一期建设。2电信线路1条u 现有10M和20M各一条，拟扩展至100M一条，费用按年计算。1515根据流量负载情况分期扩容。3联通线路1条u 现有10M一条，拟扩展至100M一条，费用按年计算。66小计：略基础网络部分 单位：人民币 万元编号设备名称数量描述单价小计建议1链路负载均衡1套u 部署在外网出口处；u 标准吞吐率1GB，并可通过软件许可证的方式升级吞吐量至4GB；u 提供至少6个10/100/1000BaseT端口以及光纤端口。16

26、.716.72核心交换机2套u 增强型IPv6强三层以太网万兆交换机；u 双机热备，支持IRF2；u 背板交换容量256Gbps；u 交换容量（全双工）192Gbps；u 包转发率（整机）96Mpps；u 配置24个10/100/1000Base-T以太网端口+4个复用的1000Base-X千兆SFP端口+2个扩展插槽；u 配置1个2端口万兆以太网SFP+接口板，并提供2个SFP+ 万兆模块(850nm,300m,LC)；u 配置1个2端口万兆以太网CX4接口模块（3m短距离），实现IRF2弹性堆叠；u 配置1根50cm CX4本地连接电缆。4.89.63办公网PC接入交换机1套u 作为内部办

27、公网PC的接入交换机。00利旧。小计：26.3应用主机部分 单位：人民币 万元编号设备名称数量描述单价小计建议1应用服务器1套u 9U刀片机箱；u IBM BladeCenter H；u 14个刀片服务器托架；u 2组（共4个）电源，实现冗余；u 20口（对外6口）千兆2层以太网交换机模块。00利旧。1套u 20口（对外6口）千兆2层以太网交换机模块；u 扩容以实现冗余；u 安装在刀片机箱上。11.22套u 刀片服务器；u IBM Blade HS22；u CPU：2个Intel四核Xeon E5530处理器（2.40GHz，8MB 三级高速缓存）；u 内存：16GB（4x4GB）DDR3,

28、12个内存插槽，最大192GB；u 硬盘：2个146GB 10K 6Gbps SAS 2.5英寸热插拔硬盘，支持RAID0/1。00利旧。6套u 刀片服务器；u IBM Blade HS22；u CPU：2个Intel四核Xeon E5530处理器（2.40GHz，8MB 三级高速缓存）；u 内存：16GB（4x4GB）DDR3, 12个内存插槽，最大192GB；u 硬盘：2个146GB 10K 6Gbps SAS 2.5英寸热插拔硬盘，支持RAID0/1。3.319.82数据库服务器2套u 2U机架式；u IBM x3650 M2；u CPU：2个Intel四核Xeon E5540处理器(2

29、.53GHz，8M三级高速缓存)；u 内存：16GB（4x4GB） DDR3 RDIMM, 16个内存插槽，最大128GB；u 硬盘：3个300GB 10K 6Gbps SAS 2.5英寸热插拔硬盘，支持RAID0/1/5/6；u 网卡：集成双口10/100/1000Mb自适应；u HBA：4GB光纤；u 光驱：DVD；u 操作系统：微软Windows Server 2008标准版32/64位（支持1-4处理器，含5用户授权）简体中文ROK。00利旧。3光纤存储系统1套u 4U；u IBM System Storage DS4700；u 协议端口：主机端口为光纤通道。u 主机接口和磁盘及数量：

30、4个4Gbps光纤通道（FC）交换接口和FC仲裁环(FC-AL)；4个4Gbps FC-SW 驱动器接口；u 速度性能：IOPS121,500（，磁盘吞吐率900Mb/S；u 存储缓存：2GBu 配置容量：10*300GB 15000RPM 4GB光纤硬盘；u 扩展性能：单一机头通过扩展存储柜可支持112个硬盘槽位。00利旧。4光纤交换机1套u 如果只有2台数据库服务器，存储将采用直连方式，不需要光纤交换机；u 最大支持24个8Gpbs/4Gbps FC端口，本次激活8个4Gpbs端口。7.47.4小计：28.4网络安全部分 单位：人民币 万元编号设备名称数量描述单价小计建议1百兆防火墙1套u

31、 东软FW5120-W；u 部署在外网出口处；u 配置6个10/100 Base-T端口。00利旧，现有线路状况下可暂使用。2千兆防火墙1套u 部署在外网出口处；u 至少支持一对Bypass接口；u 系统吞吐量4G；u 最大并发连接数100万（可扩展至200万）；u 每秒新建连接数6万；u 配置6个10/100/1000自适应电口，并可扩展光口。10103入侵防御系统1套u 部署在外网防火墙之后；u 双机热备；u 最大4路（可以是2路光纤接入或2路电口接入或2路光纤2路电口接入，光接口可为单模或多模）；u 吞吐率1200Mbps；u 碎片重组数1,000,000；u 单包最大时延200us；u

32、 最大并发连接数200万；u 每秒最大连接数8万。23.223.24Web应用防护系统1套u 最多6个千兆接口（多模光纤SX、千兆以太网可选）；u 吞吐量（双向）800M；u 延迟30 us；u 最大并发TCP会话数60万。16.816.85上网行为管理1套u 部署在内部办公网PC的接入交换机上；u 网康。00利旧。6网络防病毒软件1套00利旧。小计：50一期建设资金估算（不含外网线路费用）： 二期建设清单基础网络扩容 单位：人民币 万元编号设备名称数量描述单价小计建议1链路负载均衡1套u 部署在外网出口处；u 与一期部署的链路负载均衡做双机热备；u 标准吞吐率1GB，并可

33、通过软件许可证的方式升级吞吐量至4GB；u 提供至少6个10/100/1000BaseT端口以及光纤端口。16.716.7小计：16.7应用主机扩容 单位：人民币 万元编号设备名称数量描述单价小计建议1应用服务器4套u 刀片服务器；u IBM Blade HS22；u CPU：2个Intel四核Xeon E5530处理器（2.40GHz，8MB 三级高速缓存）；u 内存：16GB（4x4GB）DDR3, 12个内存插槽，最大192GB；u 硬盘：2个146GB 10K 6Gbps SAS 2.5英寸热插拔硬盘，支持RAID0/1。3.313.22数据库服务器2套u 机型：机架式4U。u CPU

34、：2个Intel 四核Xeon E7520处理器(1.86GHz, 18M 三级高速缓存)，可扩充至8路处理器。u 内存：标配2块内存板，16GB (44GB) 1066MHz DDR3内存。u 硬盘：3个300GB 10K SAS 热插拔硬盘（RAID5），可用容量约600GB；最大可扩充至3TB。u 网卡：标配一块Emulex 万兆双口以太网卡+2个千兆以太网卡。u 光驱：DVD。u 电源：热插拔，实现冗余。8.617.23数据备份系统1套u 3U；u 单控制器，支持SAS/SATA磁盘混插，支持RAID0/1/10/5/50/60热备盘；u 标配2个 FC主机端口，2个1GbE主机接口；

35、u 硬盘：6个600GB 15000RPM SAS硬盘，本机16个盘位可扩容到80盘位；u 2个存储高可用控制器；u 1套存储设备高可用软件（配合高可用控制器使用）；u 450W冗余电源。22.422.44光纤交换机1套u 与一期部署的光纤交换机做双机热备；u 最大支持24个8Gpbs/4Gbps FC端口，本次激活8个4Gpbs端口。7.47.45服务器负载均衡1套u 标准吞吐量：1 Gbps；u 路由协议：OSPF、RIP、 RIP II；u 物理端口：6Gigabit Ethernet Ports (Copper) + 2 Gigabit Fiber Ports (SFP-GBIC Mi

36、ni)。16.716.7小计：76.9网络安全扩容 单位：人民币 万元编号设备名称数量描述单价小计建议1千兆防火墙1套u 部署在外网出口处；u 双机热备，至少支持一对Bypass接口；u 系统吞吐量4G；u 最大并发连接数100万（可扩展至200万）；u 每秒新建连接数6万；u 配置6个10/100/1000自适应电口，并可扩展光口。10102网络安全审计系统1套u 旁路部署在核心交换机上；u 抓包速度100M；u 入库速度8000条/秒；u 日处理事件数800万条；u 缺省DB审计服务数20；u MTBF50000小时。11.311.3小计：21.3二期建设资金估算： 三

37、期建设清单应用主机扩容 单位：人民币 万元编号设备名称数量描述单价小计建议1应用服务器2套u 刀片服务器；u IBM Blade HS22；u CPU：2个Intel四核Xeon E5530处理器（2.40GHz，8MB 三级高速缓存）；u 内存：16GB（4x4GB）DDR3, 12个内存插槽，最大192GB；u 硬盘：2个146GB 10K 6Gbps SAS 2.5英寸热插拔硬盘，支持RAID0/1。3.36.62服务器负载均衡1套u 与二期部署的服务器负载均衡做双机热备；u 标准吞吐量：1 Gbps；u 路由协议：OSPF、RIP、 RIP II；u 物理端口：6Gigabit Eth

38、ernet Ports (Copper) + 2 Gigabit Fiber Ports (SFP-GBIC Mini)。16.716.7小计：23.3网络安全扩容 单位：人民币 万元编号设备名称数量描述单价小计建议1入侵防御系统1套u 与一期部署的入侵防御设备做双机热备；u 部署在外网防火墙之后；u 双机热备；u 最大4路（可以是2路光纤接入或2路电口接入或2路光纤2路电口接入，光接口可为单模或多模）；u 吞吐率1200Mbps；u 碎片重组数1,000,000；u 单包最大时延200us；u 最大并发连接数200万；u 每秒最大连接数8万。23.223.22漏洞扫描系统1套u 旁路部署在核

39、心交换机上；u 每次扫描主机的个数为64个，但不限制具体扫描的IP地址。9.59.5小计：32.7三期建设资金估算：56第三章 基于政务内网的地理信息运营支撑平台规划3.1 综述政务内网，即“数字福建”政务信息网，其于2001年9月开始建设，2002年1月开通运行，实现了省、市、县各级党政单位骨干网络的互联，是XXXX各级党政机关实现信息交换和共享的宽带、安全、高速、便捷的多媒体信息交换平台。政务内网为涉密网络，是完全与国际互联网物理隔离的，并有机要网在其上运行，所以根据国家相关法律法规（中办17号文），承载在政务内网运行的XXXX自然资源及地理空间数据库等系统的支撑平台必须单独设计，与外网完

40、全隔离。本方案设计的主要目的就是为保证XXXX自然资源及地理空间数据库等系统的稳定高效运行构建一个基于政务内网的稳定、安全、先进的运营支撑平台。3.2 基于政务内网的运营支撑平台总规划拓扑图如所示，XXXX基础地理信息中心基于政务内网的地理信息支撑运营平台从架构上看，可以分为基础网络规划、应用主机部分规划以及网络安全规划以及等3个部分，以下，我们也将按照“好路、好车、好警察”分层设计的原则对以上部分逐一进行规划说明。3.3 基础网络部分规划由于电子政务内网为涉密网络，为单光纤链路接入，考虑到XXXX自然资源及地理空间数据库等系统上线后，一期接入的就有XXXX气象局等9个厅局单位，同时将运行Or

41、acle等大型数据库，从基础网络结构上考虑，我们认为已有的工作组级二层交换机是不适宜担任核心交换的重任的。如所示，核心交换机将负责各种业务数据流量的转发，是整个网络最核心部分，它的性能、可靠性将极大地影响整个网络的运行情况。因此我们在整个网络最核心的部分部署了增强型IPv6三层万兆以太网交换机，由于地理信息业务对I/O的要求极高，我们规划中将动态虚拟化服务器主机通过其各自带的万兆网口与核心交换机万兆光纤端口直连，以满足大流量数据线速交换的需求。3.4 应用主机部分规划基于政务内网的地理信息应用与基于外网的地理信息应用相比，相对丰富，如何提高主机的使用效率、如何降低成本以及如何达到业务不停机的要

42、求，是我们规划的最大目标。因此，我们建议用户采用VMware虚拟化平台解决方案为基于政务内网的地理信息应用服务构建一个强壮并有着优异扩展能力的运营支撑系统。如所示，应用主机部分可以分为动态虚拟化服务器平台、存储系统以及数据备份系统等3个部分，规划图如下所示： 动态虚拟化服务器平台：如所示，我们建议用户一期可先配置2台基于Intel 最新的6核CPU的x86服务器做为虚拟主机，同时每台服务器上都安装配置VMware 第4代虚拟架构套件-VMware vSphere 4企业版软件，用于在单个物理服务器实体上，利用服务器强大的处理能力，生成多个虚拟服务器，而每一个虚拟服务器，从功能、性能和操作方式上

43、，等同于传统的单台物理服务器，在每个虚拟服务器上，再安装配置Windows或其他操作系统，进而再安装应用软件，这样以前的每个物理服务器就变身为VMware ESX 服务器上的虚拟机，从而大大提高资源利用率，降低成本，增强了系统和应用的可用性，提高系统的灵活性和快速响应，完美地实现了服务器虚拟架构的整合。另外，为了集中管理和监控虚拟机，实现自动化以及简化资源调配，建议单独配置一套服务器安装Window系统，用于安装VMware vSphere套件中的VMware vCenter Server软件，对两台物理服务器及其上的虚拟服务器进行统一的管理。 光纤交换机：未来多业务系统上线后，平台中将部署多

44、台服务器做为虚拟主机，这就需要通过光纤交换机与光纤通道磁盘存储系统连接，而不能采用数据库服务器与存储系统光纤直连的方式；为保证高可用性，规划中部署了两套光纤交换机并配置成HA工作模式。 存储系统：为了实现数据的集中存储、集中备份以及充分利用VMware虚拟架构中虚拟机可动态在线从一台物理服务器迁移到另一台物理服务器上的特性，建议配置一套光纤存储系统，组成标准的SAN集中存储架构，由VMware虚拟架构套件生产出来的虚拟机的封装文件都存放在SAN存储阵列上。通过共享的SAN存储架构，可以最大化的发挥虚拟架构的优势，进行在线地迁移正在运行的虚拟机（VMware VMotion），进行动态的资源管理

45、（VMware DRS）， 和集中的基于虚拟机快照技术的Lan Free的整合备份 （VMware VCB）等，而且为以后的容灾提供扩展性和打下基础。 备份系统：如所示，从核心交换机到动态虚拟化服务器平台再到光纤交换机，用户所使用的都是集群环境或全冗余架构，在这其中无论是哪个环节发生单点故障都不会影响业务的连续性。但是在此环境架构中，存在着一个致命的环节，因为在此环境中所有的数据都是保存在光纤磁盘存储系统上，其就好像是“好车”上的“发动机”，是应用主机系统数据的核心所在。因此，我们在规划中设计了一套磁盘存储系统作为光纤磁盘存储系统的备用机，配置SAS磁盘，使用raid5+Hotspare方式对

46、备份存储本机进行保护，并确保可用磁盘空间不低于主存储系统，同时使用两台存储虚拟化管理控制器，同步主存储系统上的数据到备份存储上，并且做到主、备两台存储之间的HA，使整个平台不再存在单点故障，做到全冗余架构，保证地理信息业务的连续性及安全性。3.5 网络安全部分规划我们将对XXXX基础地理信息中心基于政务内网的业务系统实施全局二级等级化标准保护。网络安全部分的规划，总体上可以分为两大部分，一是要建立一个完善的信息安全管理体系，从制度上保证整个信息系统的安全运营；二是要通过各种安全设备的协同工作从技术上来实现对整个信息系统的安全防护。以下，我们将就如何在技术上的保证这一方面做出规划，至于在制度上的

47、如何保证，由于内容较多，我们将以附件的方式提交。如所示，网络安全在技术上的保证，主要是通过在整个支撑平台的不同位置部署防火墙、入侵防御系统以及网络安全审计系统等安全产品来实现。 防火墙：部署在网络出口处，是整个平台的第一道安全防线。部署后，所有访问服务器的请求都要经过防火墙安全规则的详细检测，只有访问服务器的请求符合防火墙安全规则后，才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击，外界只能接触到防火墙上的特定服务，从而屏蔽了绝大部分外界攻击。规划中，XXXX自然资源及地理空间数据库等诸多业务系统将承载在政务内网上运行，一旦系统上线，数据访问量将剧增，原有的一套黑盾防火墙不

48、但存在单点故障的隐患，而且性能上也将存在瓶颈。因此，我们建议将外网改造后更换下来的东软FW5120-W防火墙（目前此设备应用于Internet出口，性能上应优于原有黑盾防火墙）部署于政务内网出口处，同时新购一套同等性能的防火墙做双机热备。 入侵防御系统：防火墙是一种最基本的安全措施，它可以起到限制访问的目的，好比在网络中修建了围墙，不允许任意出入，只许在正规的出入口进出，防火墙可以阻止所有无关人员出入，并放行所有的相关人员。但，“开好车的就一定是好人吗？”，由于防火墙只能对表面现象进行检查，不能深入对内容进行检查，因此我们需要在平台中部署第二道防线来主动防御来自应用层的攻击，即入侵防御系统，它

49、对已经通过防火墙检测的正常流量进行检测，发现隐藏在其中的恶意数据包，并阻止其攻击平台中的服务器主机，保证正常业务系统的连续性和可用性。 网络安全审计系统：旁路部署在核心交换机上，实现对数据库操作的审计，以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源，加强内外部网络行为监管、促进核心资产（数据库、服务器、网络设备等）的正常运营。其核心价值体现是完善业务系统的安全防范体系，满足组织机构内外部合规性要求，全面体现管理者对业务系统信息资源的全局把控和调度能力。3.6 分期建设规划表“统一规划，分期实施”是我们设计XXXX基础地理信息中心数据及应用服务中心所遵循的原则之一

50、，因此，我们建议本项目可分为三期建设，具体规划如下表所示：3.6.1 一期建设清单基础网络部分 单位：人民币 万元编号设备名称数量描述单价小计备注1核心交换机2套u 增强型IPv6强三层以太网万兆交换机；u 双机热备，支持IRF2；u 交换容量360Gbps；u 包转发率（整机）156Mpps；u 配置24个10/100/1000Base-T以太网端口+4个1/10G SFP+端口+1个扩展插槽，最大支持8个1/10G端口；u 配置1个4端口1G/10G SFP+接口板，并提供4个SFP+ 万兆模块(850nm,300m,LC)；u 配置1根SFP+ 0.65m电缆，实现IRF2弹性堆叠。7.

51、214.42办公网PC接入交换机1套u 作为内部办公网PC的接入交换机。00利旧。小计：14.4应用主机部分 单位：人民币 万元编号设备名称数量描述单价小计建议1虚拟服务器主机2套u 4U机架式；u 4个Intel Xeon Processor E7530 6C 1.86GHz 12MB Cache CPU； u 256GB DDR3内存；u 2个15k 300GB SAS硬盘, RAID1；u 3个dual port 1Gb NIC；u 1个双口10Gb CAN；u 2个8Gb HBA。28.857.62虚拟化软件1套u VMware vSphere 4企业版；u 根据实际物理CPU个数购买

52、License（授权文件）。2929按8个物理CPU计算。3虚拟中心管理端服务器1套u 2U机架式；u CPU：1个Intel四核Xeon E5630处理器(2.53GHz，12M三级高速缓存)；u 内存：8GB（4x4GB） DDR3 RDIMM, 18个内存插槽。u 硬盘：2个146GB 10K SAS 热插拔硬盘；u 网卡：集成双口千兆以太网；u 光驱：DVD。00利旧；利用服务器整合后剩余的空闲设备。4光纤存储系统1套u 4U；u IBM System Storage DS4700；u 协议端口：主机端口为光纤通道。u 主机接口和磁盘及数量：4个4Gbps光纤通道（FC）交换接口和FC仲裁环(FC-AL)；4个4Gbps FC-SW 驱动器接口；u 速度性能：IOPS121,500（，磁盘吞吐率900Mb/S；u 存储缓存：2GBu 配置容量：10*300GB 15000RPM 4GB光纤硬盘；u 扩展性能：单一机头通过扩展存储柜可支持112个硬盘槽位。1414小计：100.6网络安全部分 单位：人民币 万元编号设备名称数量描述单价小计建议1百兆防火墙1套u 黑盾；u 部署在政务内网出口处。00利旧，现有业务状况下可暂使用。1套u 东软FW5120-W；u 部署在政务内网出口处；u 配置6个10/100 Base-T端口。00利旧，外网升